Uma campanha massiva de malvertising, que foi detectada no início de 2026, aproveitou as buscas de documentos fiscais para levar vítimas nos Estados Unidos a instaladores maliciosos que entregam um assassino de soluções de segurança em modo kernel. De acordo com a análise publicada pela assinatura de cibersegurança Huntress, os anúncios patrocinados redirigiam páginas tramposas que distribuíam instaladores do ConnectWise ScreenConnect (também conhecido como ConnectWise Control) e, a partir daí, criaram uma cadeia de ataque projetada para deixar cegas as defesas do endpoint antes de avançar no compromisso. Você pode ler o relatório técnico de Huntress aqui: Huntress — W2 malvertising to kernel mode EDR kill.
O que torna especialmente perigoso esta operação não é apenas a utilização de engenharia social sobre questões fiscais, mas sim a combinação de ferramentas comerciais e componentes legítimos. Os atacantes usaram serviços de cloaking comercial para que os scanners e sistemas de revisão de anúncios vissem uma página inofensiva, enquanto as pessoas reais recebiam o instalador malicioso. Segundo Huntress, a infraestrutura incluía pelo menos duas camadas de ocultação: uma baseada em Adspect e outra em JustCloakIt, que em conjunto verificam pegadas do visitante e decidem qual conteúdo servir. Esse tipo de TDS (Traffic Distribution System) permitiu-lhes evitar detecções automáticas e focalizar a entrega.
A peça crítica da cadeia maliciosa é um módulo que os pesquisadores têm batizado HwAudKiller. Este componente aproveita uma técnica conhecida como "Bring Your Own Vulnerable Driver" (BYOVD), na qual se carrega um controlador legítimo e assinado que contém vulnerabilidades utilizáveis para executar ações do kernel. Neste caso, identificou-se o driver assinado por um fabricante conhecido de hardware de áudio — o arquivo HWAuidoOs2Ec.sys — e foi usado para terminar processos de produtos de segurança de modo kernel, algo que os controles em espaço de usuário não podem facilmente impedir.
A engenharia por trás do abuso de controladores assinados é simples na sua abordagem e alarmante nas suas consequências: O Windows permite carregar controladores assinados sem saltar a verificação de assinatura (Driver Signature Enforcement). Se um atacante encontrar um controlador legítimo que tem funções que podem ser mal utilizadas - por exemplo, a capacidade de terminar processos do kernel -, você pode usá-lo para desativar EDRs e antivírus, abrindo a porta para tarefas posteriores como volcado de credenciais ou movimento lateral.
Uma vez conseguida a persistência inicial com instâncias de ScreenConnect, os operadores lançaram ferramentas adicionais de administração remota e redundância, incluindo múltiplas instâncias de teste de ScreenConnect e agentes RMM como FleetDeck, para não perder acesso se uma instância fosse detectada. Além disso, em pelo menos um incidente observou-se o acabamento de memória do processo LSASS e o uso de utilitários de auditoria e movimento lateral como NetExec. Essas ações encaixam com comportamentos observados em atores que preparam o terreno para implantar ransomware ou vender acessos em mercados clandestinos.
Os atacantes também tentaram fugir das plataformas de detecção através de técnicas de ofuscação e de abuso de recursos. O crypter empregado pelos operadores atribuiva e preenchia dois gigabytes de memória com zeros e então liberava esse bloco, um truque pensado para fazer falhar em emuladores e sandboxes pelo alto consumo de memória e assim reduzir a probabilidade de detecção por análise dinâmica.
Entre os indicadores técnicos há outro detalhe interessante: em uma pasta pública na infraestrutura do atacante apareceu uma página falsa de atualização do Chrome com comentários em russo no código JavaScript, sugerindo a participação de um desenvolvedor de fala russa ou o uso de toolkits disponíveis nessa comunidade. Isso não equivale a atribuição definitiva, mas traz pistas sobre a origem da ferramenta social e técnica usada para enganar as vítimas.
Este caso evidencia uma tendência preocupante: A combinação de serviços comerciais, ferramentas de acesso remoto gratuitos ou de teste, crypters fora de caixa e controladores assinados, mas inseguros, permite a atores com recursos modestos montar cadeias de ataque sofisticadas sem explorar vulnerabilidades de dia zero ou capacidades próprias de estados-nação. Huntress resume-se a notar que a barreira de entrada para operações avançadas foi reduzida ao combinar componentes de mercado.
O que podem fazer empresas e usuários para reduzir o risco contra este tipo de ataques? Em primeiro lugar, é conveniente reforçar os controlos sobre a instalação de software remoto e rever qualquer ocorrência inesperada de conexões entrantes do ScreenConnect ou ferramentas RMM. Em ambientes corporativos, aplicar políticas de controle de drivers e lista branca de controladores ajuda a mitigar o abuso de componentes assinados; a Microsoft documenta as políticas de assinatura de controladores em sua documentação técnica sobre o kernel-mode code signing aqui. Também é recomendável ativar tecnologias de proteção de credenciais como Credential Guard para dificultar o volcado de LSASS ( Documentação Microsoft).
No plano operacional, bloquear domínios e padrões observados nas cadeias de distribuição, restringir a execução de instaladores baixados a partir de anúncios patrocinados, segmentar a rede e aplicar monitoramento que detecte a instalação ou execução incomum de múltiplos agentes remotos são medidas eficazes. Para se defender de técnicas de evasão como as descritas pelo crypter, é importante contar com soluções de segurança que incorporem telemetria em múltiplas camadas (endpoint, rede e nuvem) e não depender apenas da análise estática ou de sandboxes com recursos limitados. As organizações também devem manter políticas de educação para os funcionários sobre os riscos de ligações patrocinados que prometem documentos fiscais e verificar sempre a legitimidade de domínios e certificados.
Para entender o contexto táctico, podem consultar-se referências públicas sobre técnicas de roubo de credenciais e movimento lateral, como o catálogo do MITRE ATT&CK para "Credential Dumping" ( MITRE ATT&CK — T1003), que ajuda a correlacionar indicadores e táticas usadas pelos atacantes.
Em suma, a campanha detectada por Huntress é uma chamada de atenção: não só volta a demonstrar a eficácia do malvertising contra usuários que buscam serviços legítimos (como formulários fiscais), mas mostra como a reutilização de software legítimo com falhas pode se tornar uma arma poderosa quando combinada com serviços comerciais de cloaking e ferramentas de acesso remoto. Defender-se hoje exige uma estratégia que vá além de assinar controladores ou confiar em análise em sandbox: requer controles de execução, segmentação, detecção multinível e boa higiene digital por parte dos usuários.
Se você quiser aprofundar os detalhes técnicos e os indicadores observados pelos pesquisadores, veja o relatório de Huntress mencionado acima e considera revisar seus registros de telemetria para buscar padrões de instalação do ScreenConnect, conexões a domínios suspeitos e a presença de controladores incomuns nos hosts.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...